Concepts du Security Hub

Le AWS compte standard contenant vos AWS ressources. Connectez-vous AWS à votre AWS compte pour activer Security Hub.

Si votre compte est inscrit AWS Organizations, votre organisation désigne un compte administrateur Security Hub. Ce compte peut activer d'autres comptes d'organisation en tant que comptes de membres.

Une organisation ne peut avoir qu'un seul compte administrateur. Un compte ne peut pas être à la fois un compte administrateur et un compte membre.

Security Hub prend en charge les comptes suivants :

Ce type de AWS compte permet de consulter les résultats des comptes de membres associés.

Ce type de AWS compte devient un compte administrateur lorsqu'il est désigné par un compte de gestion de l'organisation comme compte administrateur du Security Hub. Le compte administrateur du Security Hub peut activer n'importe quel compte d'organisation en tant que compte membre et peut également inviter d'autres comptes à devenir des comptes membres.

Une organisation ne peut avoir qu'un seul compte administrateur. Un compte ne peut pas être à la fois un compte administrateur et un compte membre.

Une région d'agrégation vous permet de visualiser les résultats de sécurité provenant Régions AWS de plusieurs sites sur un seul écran.

La région d'agrégation est l' Région AWS endroit où vous pouvez consulter et gérer les résultats. Les résultats sont agrégés dans la région d'agrégation à partir des régions liées. Les résultats mis à jour sont reproduits dans toutes les régions.

Dans la région d'agrégation, le tableau de bord et les pages d'inventaire incluent les données de toutes les régions liées. La page des automatisations ne peut être utilisée que pour définir des règles d'automatisation dans la région d'agrégation. Third-party les intégrations de billetterie ne peuvent être configurées que dans la région d'agrégation.

Une découverte dont le statut est deARCHIVED. Ces résultats indiquent que le fournisseur ou le client enquêtant sur le résultat estime que le résultat n'est plus pertinent.

Les fournisseurs de recherche peuvent archiver les résultats qu'ils créent. Les clients peuvent archiver les résultats qui, selon eux, ne sont plus pertinents en utilisant l'BatchUpdateFindingsV2API Security Hub ou en mettant à jour le statut dans la console Security Hub.

Dans la console Security Hub, les paramètres de filtre par défaut excluent les résultats archivés des listes et des tableaux de recherche. Vous pouvez mettre à jour les filtres pour inclure les résultats archivés. Si vous récupérez des résultats à l'aide de l'opération GetFindingsV2, l'opération récupère à la fois les résultats archivés et les résultats actifs. L'exemple suivant montre comment exclure les résultats archivés des résultats.

{
    "StringFilters":
    [
        {
            "FieldName": "status",
            "Filter":
            {
                "Value": "Archived",
                "Comparison": "EQUALS"
            }
        }
    ]
}

L'agrégation des résultats et des ressources des régions liées à une région d'agrégation. Vous pouvez afficher toutes vos données de la région d'agrégation et mettre à jour les résultats de la région d'agrégation.

Dans AWS Organizations, le compte d'administrateur délégué d'un service est capable de gérer l'utilisation d'un service pour l'organisation.

Dans Security Hub, le compte administrateur Security Hub est également le compte administrateur délégué de Security Hub. Lorsque le compte de gestion de l'organisation désigne pour la première fois le compte administrateur Security Hub, Security Hub appelle Organizations pour faire de ce compte le compte administrateur délégué.

Le compte de gestion de l'organisation doit ensuite choisir le compte d'administrateur délégué comme compte d'administrateur du Security Hub dans toutes les régions.

Les expositions sont des faiblesses plus générales liées aux contrôles de sécurité, aux mauvaises configurations ou à d'autres domaines susceptibles d'être exploités par des menaces actives.

Voici des exemples d'expositions :

Type de constatation qui décrit une exposition présente dans votre environnement. Un résultat d'exposition inclut des traits et des signaux. Un signal peut inclure un ou plusieurs types de caractéristiques d'exposition. AWS Security Hub génère une détection d'exposition lorsque des signaux provenant de AWS Security Hub CSPM, Amazon Inspector GuardDuty, Amazon, Amazon Macie ou AWS d'autres services indiquent la présence d'une exposition. Une ressource peut être impliquée dans un ou plusieurs résultats d'exposition. Si une ressource ne présente aucun caractère d'exposition ou si ses caractéristiques sont insuffisantes, Security Hub ne génère pas de résultat d'exposition pour cette ressource.

Voici un exemple de découverte d'exposition : une instance EC2 accessible depuis Internet et présentant des vulnérabilités logicielles présentant un risque élevé d'exploitation.

Enregistrement observable d'une vérification de sécurité ou d'une détection liée à la sécurité. Security Hub génère et met à jour les résultats grâce à la corrélation d'autres résultats de sécurité. C'est ce que l'on appelle les résultats d'exposition. Les résultats peuvent également provenir d'intégrations avec Services AWS d'autres produits tiers.

L'importation des résultats dans Security Hub. La découverte d'événements liés à l'ingestion inclut à la fois de nouvelles découvertes et des mises à jour des résultats existants.

Lorsque vous activez l'agrégation entre régions, une région liée est une région qui regroupe les résultats et l'inventaire des ressources dans la région d'agrégation.

Dans une région liée, le tableau de bord et les pages d'inventaire contiennent uniquement les résultats correspondants Région AWS.

L'Open Cybersecurity Schema Framework (OCSF) est un effort collaboratif AWS et open source mené par des partenaires de premier plan dans le secteur de la cybersécurité. L'OCSF fournit un schéma standard pour les événements de sécurité courants, définit des critères de version pour faciliter l'évolution du schéma et inclut un processus d'autogouvernance pour les producteurs et les consommateurs de journaux de sécurité. Pour plus d'informations, consultez les résultats de l'OCSF dans Security Hub.

Et Compte AWS qui autorisait un compte administrateur à consulter ses conclusions et à y donner suite. Ce type de compte Compte AWS devient un compte membre lorsque le compte administrateur du Security Hub l'active en tant que compte membre.

Une découverte qui contribue à une constatation d'exposition. Un signal peut être considéré comme une découverte contributive. Un signal peut provenir de Security Hub CSPM ou d'un autre AWS Config site Services AWS, tel qu'Amazon Inspector.

Type d' AWS Config enregistreur utilisé pour enregistrer des données de configuration sur des ressources spécifiques à un service. Security Hub utilise ces enregistreurs dans le cadre d'une approche axée sur les événements afin d'obtenir des éléments de configuration des ressources pour la couverture de l'analyse de l'exposition, les rapports d'inventaire des ressources et les évaluations du contrôle de la gestion de la posture. Cette fonctionnalité est fournie à tous les clients de Security Hub dans le cadre de la tarification du plan Essential. Après avoir activé Security Hub, les enregistreurs de configuration liés au service suivants sont créés dans votre compte :

Un analyseur d'accès IAM créé et géré par Security Hub en votre nom. Lorsque vous activez Security Hub, celui-ci crée automatiquement un analyseur d'accès non utilisé lié à un service pour identifier les rôles, les utilisateurs, les clés d'accès et les autorisations IAM qui n'ont pas été utilisés au cours d'une période rétrospective de 90 jours. L'analyseur fonctionne dans l'est des États-Unis (Virginie du Nord) car l'IAM est un service mondial. Security Hub reproduit les résultats d'accès non utilisés dans toutes les régions dans lesquelles vous avez activé Security Hub. Il n'est pas nécessaire d'activer séparément IAM Access Analyzer ou de prendre des mesures supplémentaires. Cette fonctionnalité est fournie à tous les clients de Security Hub dans le cadre de la tarification du plan Essential. Vous pouvez consulter l'analyseur lié au service dans la console IAM Access Analyzer, mais vous ne pouvez pas le modifier ou le supprimer lorsque Security Hub est activé. Security Hub supprime l'analyseur lorsque vous désactivez le service dans toutes les régions d'un. Compte AWS Pour de plus amples informations, veuillez consulter Comprendre les informations relatives aux accès non utilisés dans Security Hub.

Déviation de sécurité qui entraîne la découverte d'une exposition. Les types de caractéristiques incluent l'assumabilité, la mauvaise configuration, l'accessibilité, les données sensibles et la vulnérabilité. Un trait est associé à un signal, et un signal peut contenir plusieurs traits. Par exemple, un contrôle Security Hub CSPM indique qu'une politique gérée par le client autorise le contrôle d'accès administratif. Ce signal contient un trait de mauvaise configuration.

Une découverte qui identifie un rôle, un utilisateur, une clé d'accès ou un ensemble d'autorisations IAM qui n'a pas été utilisé au cours d'une période rétrospective de 90 jours. Security Hub génère des résultats d'accès non utilisés à l'aide d'un analyseur d'accès IAM lié à un service. Il existe quatre types de résultats d'accès inutilisés : les rôles IAM inutilisés, les clés d'accès utilisateur IAM inutilisées, les mots de passe utilisateur IAM non utilisés et les autorisations non utilisées.